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Zusammenfassunq 



Die vorliegende Erfindung betrifft eine Datenverarbeitungseinrichtung, insbe- 
sondere Chipkarte Oder Smart Card, sowie ein Verfahren zu dessen Betrieb, 
5 mit einer integrierten Schaltung, welche eine Zentralrecheneinheit (CPU) (10) 
sowie einen oder mehrere Co-Prozessor (12) aufweist. Hierbei weist die inte- 
grierte Schaltung eine Steuereinheit (18, 30) auf, welche die Prozessoren, CPU 
(10) bzw. Co-Prozessoren (12), derart ansteuert, dass im Falle einer kryptogra- 

^ phischen Operation wenigstens zwei der Prozessoren gleichzeitig und parallel 

10 eine kryptographische Operation ausfuhren. (Fig.) 
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Beschreibung 



Datenverarbeitungseinrichtung und Verfahren zu dessen Betrieb 

5 Technisches Gebiet 

Die Erfindung betrifft ein Verfahren zum Betreiben 'einer Datenverarbeitungsein- 
richtung, insbesondere einer Chipkarte oder Smart Card, mit einer integrierten 
Schaltung, welche eine Zentralrecheneinheit (CPU) sowie einen oder mehrere 
Co-Prozessoren aufweist, wobei von der integrierten Schaltung kryptographi- 

10 sche Operationen ausgefuhrt werden, gemaB dem Oberbegriff des Anspruchs 
1. Die Erfindung betrifft ferner eine Datenverarbeitungseinrichtung, insbesonde- 
re Chipkarte oder Smart Card, mit einer integrierten Schaltung, welche eine 
Zentralrecheneinheit (CPU) sowie einen oder mehrere Co-Prozessor aufweist, 
gemali dem Oberbegriff des Anspruchs 1 0. 

15 

Stand der Technik 

In vielen Datenverarbeitungsgeraten mit integrierter Schaltung dienen bei- 
spielsweise kryptographische Operationen zum Schutz des Betriebes dieser 
Gerate bzw. zum Schutz von in dem Gerat gespeicherten Daten. Die hierfur 

20 notwendigen Rechenoperationen werden dabei sowohl von Standard- 
Rechenwerken (CPU) als auch von dedizierten Crypto-Rechenwerken (Co- 
Prozessor) durchgefuhrt. Ein typisches Beispiel fur letzteres sind Chipkarten 

& bzw. IC-Karten, wie beispielsweise eine sogen. Smart Card. Bei in diesem Zu- 
sammenhang verwendeten Daten bzw. Zwischenergebnissen handelt es sich 

25 ublicherweise um sicherheitsrelevante Informationen, wie beispielsweise kryp- 
tographische Schlussel oder Operanden. 

Bei von der integrierten Schaltung durchgefuhrten Rechenoperationen, bei- 
spielsweise zur Berechnung von kryptographischen Algorithmen, werden logi- 
30 sche VerknQpfungen zwischen Operanden bzw. Zwischenergebnissen durch- 
gefQhrt. In Abhangigkeit von der verwendeten Technologie fuhren diese Opera- 



tionen, insbesondere das Laden von leeren oder zuvor geloschten Speicherbe- 
reichen bzw. Register mit Daten, zu einem erhohten Stromverbrauch der Da- 
ten verarbeitungsgerate. Bei komplementarer Logik, wie beispielsweise der 
CMOS-Technik, tritt ein erhohter Stromverbrauch dann auf, wenn der Wert ei- 
ner Bit-Speicherzelle geandert wird, d.h. sein Wert sich von "0" auf "1" andert. 
Der erhohte Verbrauch hangt dabei von der Anzahl der im Speicher bzw. Regi- 
ster geanderten Bitstellen ab. Mit anderen Worten lasst das Laden eines zuvor 
geloschten Registers einen Stromverbrauch proportional zum Hamminggewicht 
des in das leere Register geschriebenen Operanden (=Anzahl der Bits mit dem 
Wert "1") ansteigen. Durch eine entsprechende Analyse dieser Stromanderung 
konnte es moglich sein, Informationen uber die berechneten Operationen zu 
extrahieren, so dass eine erfolgreiche Kryptoanalyse von geheimen Operan- 
den, wie beispielsweise kryptographischen Schlusseln, moglich ist. Mittels 
Durchfuhrung mehrerer Strommessungen am Datenverarbeitungsgerat konnte 
beispielsweise bei sehr kleinen Signalanderungen eine hinreichende Extraktion 
der Informationen ermoglicht werden. Andererseits konnten mehrere Strom- 
messungen eine ggf. erforderliche Differenzbildung ermoglichen. Diese Art der 
Kryptoanalyse wird auch als "Differential Power Analysis" bezeichnet, mittels 
derer ein AuRenstehender durch reine Beobachtung von Anderungen des 
Stromverbrauches des Datenverarbeitungsgerates eine ggf. unberechtigte 
Kryptoanalyse der kryptographischen Operationen, Operanden bzw. Daten er- 
folgreich ausfuhren kann. Die "Differential Power Analysis" ermoglicht somit 
uber eine reine Funktionalitat hinaus zusatzliche interne Informationen einer 
integrierten Schaltung gewinnen zu konnen. 

Ein typisches Einsatzgebiet von den vorerwahnten Smart Cards sind beispiels- 
weise Applikationen, bei denen die Smart Card als sicherer Informationsspei- 
cher benutzt wird. Kryptographische Operationen sichern dabei den Zugang zu 



diesen Applikationen, indem die Smart Card selbstandig Verschlusselungsope- 
rationen zum Zwecke der Authentikation ausfuhrt. Dies ist nur moglich durch 
Verwendung eines speziellen Smart Card Controllers (Mikrocontrollers), der 
durch geeignete Software gesteuert wird. Der Kommunikationskanal zwischen 
5 Smart Card Controller und Smart Card Terminal ist direkt durch kryptographi- 
sche Methoden gesichert, deren Sicherheitsniveau wesentlich vom verwende- 
ten kryptographischen Algorithmus abhangt. 

Um den Authentikationsvorgang einer Smart Card falschen zu konnen, muss 
10 das Authentikationsprotokoll mittels eines Nachbaus emuliert werden konnen. 
Dies ist bei sicheren ProtokoIIen nur dadurch moglich, indem der verwendete 
geheime kryptographische Schlussel analysiert wird, der auf der Smart Card 
gespeichert ist. 

15 Da Smart Card Controller reproduzierbar arbeitende Maschinen sind, konnten 
mittels der Analyse von indirekten Abstrahlungen einer Smart Card wahrend 
der Operation, etwa durch Messen des zeitlichen Verlaufs des Stromver- 
brauchs mit der o.g. "Differential Power Analysis", interne Vorgange im Smart 
Card Controller bestimmt und letztendlich der geheime Schlussel ermittelt wer- 
den. Analysiert wird hierbei das reproduzierbare, deterministische Stromprofil 
fur gleiche Programmsequenzen einer Smart Card Controllerschaltung. 

Aus der US 4 813 024 ist eine integrierte Schaltung zum Speichem und Verar- 
beiten geheimer Daten bekannt, wobei ein Speicher eine Simulationsspeicher- 
25 zelle aufweist, welche einen identischen Stromverbrauch aufweist wie eine 
Speicherzelle, die bisher nicht programmiert wurde. Hierdurch werden Schwan- 
kungen in Strom und Spannung nur fur die Speicherzelle eliminiert, jedoch nicht 
fur die Verarbeitung der Daten. 
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Darstellunq der Erfindung. Aufgabe. Losung. Vorteile 

Es ist Aufgabe der vorliegenden Erfindung, ein verbessertes Verfahren sowie 
eine verbesserte Datenverarbeitungseinrichtung der obengenannten Art zur 
5 Verfugung zu stellen, welche die obengenannten Nachteile beseitigen und eine 
"Differential Power Analysis" so weit wie moglich erschweren. 

Diese Aufgabe wird durch ein Verfahren der o.g. Art mit den in Anspruch 1 ge- 
kennzeichneten Merkmalen und durch eine Datenverarbeitungseinrichtung der 
10 o.g. Art mit den in Anspruch 10 gekennzeichneten Merkmalen gelost. 

Dazu ist es bei einem Verfahren der o.g. Art erfindungsgemalJ vorgesehen, 
dass bei Durchfuhrung einer kryptographischen Operation in der integrierten 
Schaltung jeweils wenigstens zwei Prozessoren, CPU bzw. Co-Prozessoren. 
is gleichzeitig und parallel eine kryptographische Operation ausfuhren. 

Dies hat den Vorteil, dass sich im Betrieb wahrend einer kryptographischen 
Operation ein Stromverbrauch der Datenverarbeitungseinrichtung aus den je- 
weiligen Stromaufnahmen der wenigstens zwei parallel arbeitenden Prozesso- 
ren aufsummiert, so dass die einzelnen Stromverlaufe nicht mehr rekonstruier- 
bar sind. Eine "Differential Power Analysis" ist somit nicht mehr erfolgreich 
durchfuhrbar. 

Vorzugsweise Weitergestaltungen des Verfahrens sind in den Anspruchen 2 
25 bis 9 beschrieben. 

In einer bevorzugten Ausfuhrungsform ist nur die kryptographische Operation 
eines Prozessors, CPU bzw. Co-Prozessoren, eine Nutzop ration und sind alle 




anderen kryptographischen Operationen Dummyoperationen, deren Ergebnis 
verworfen wird, wobei optional die Auswahl, welcher Prozessor, CPU oder Co- 
processor, eine Nutzoperation ausfuhrt, zufallsgesteuert wird. 

5 In einer alternativen bevorzugten Ausfuhrungsform ist die kryptographische 
Operation im Sinne des Stromverbrauchs aufgeteilt in zwei zueinander kom- 
plementare Operationen. Fuhren nun zwei identische Co-Prozessoren die je- 
weils komplementare kryptographische Operation zeitgleich aus, addieren sich 
die Stromverlaufe ebenfalls komplementar, so dass eine DPA nicht mehr er- 

10 folgreich durchgefuhrt werden kann bzw. im Aufwand erheblich gesteigert wer- 
den muss. 

Zum Erzielen einer besonders starken Verschleierung der von der "Differential 
Power Analysis" verwendeten Stromkurve und um etwaige Asymmetrien in den 
15 identisch konstruierten Co-Prozessoren auszugleichen, wird die kryptographi- 
sche Operation in Teiloperationen zerlegt. Die Auswahl, welcher Co-Prozessor 
welche Operation komplementar oder nicht-komplementar ausfuhrt wird dabei 
zufallsgesteuert. 

In einer weiteren alternativen Ausfuhrungsform wird eine kryptographische 
Operation in wenigstens zwei Teiloperationen aufgeteilt und werden die Teilo- 
perationen gleichzeitig und parallel von den Prozessoren, CPU bzw. Co- 
Prozessoren, ausgefuhrt sowie anschlie&end entsprechende Teilergebnisse zu 
einem Gesamtergebnis der gesamten kryptographischen Operation zusam- 
mengefugt Optional wird die Aufteilung der kryptographischen Operation in 
Teiloperationen zufallsgesteuert. Beispielsweise sind die Teiloperationen Teile 
einer Verschlusselung nach DES (Data Encryption Standard). 



25 
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Ferner ist es bei einer Datenverarbeitungseinrichtung erfindungsgemalX vorge- 
sehen, dass die integrierte Schaltung eine Steuereinheit aufweist, welche die 
Prozessoren, CPU bzw. Co-Prozessoren, derail ansteuert, dass im Falle einer 
kryptographischen Operation wenigstens zwei der Prozessoren gleichzeitig und 
5 parallel eine kryptographische Operation ausfiihren. 

Dies hat den Vorteil, dass sich im Betrieb wahrend einer kryptographischen 
Operation ein Stromverbrauch der Datenverarbeitungseinrichtung aus den je- 
j0 weiligen Stromaufnahmen der wenigstens zwei parallel arbeitenden Prozesso- 
10 ren aufsummiert, so dass die einzelnen Stromverlaufe nicht mehr rekonstruier- 
bar sind. Eine "Differential Power Analysis" ist somit nicht mehr erfolgreich 
durchfuhrbar. 

Vorzugsweise Weiterbildungen der Datenverarbeitungseinrichtung sind in den 
15 Anspruchen 11 bis 14 beschrieben. 

In einer bevorzugten Ausfuhrungsform weist die Steuereinheit einen Aufteiler 
auf, welcher eine kryptographische Operation in wenigstens zwei Teiloperatio- 
nen aufteilt und zur gleichzeitigen Abarbeitung an zwei getrennte Prozessoren 
der integrierten Schaltung, CPU bzw. Co-Prozessoren, zufuhrt, wobei die Steu- 
ereinheit bevorzugt femer einen Rekombinierer aufweist, welcher jeweilige 
Teilergebnisse aus den von den Prozessoren gleichzeitig ausgefuhrten Teilope- 
rationen wieder zusammenfuhrt. 

25 Zum Verhindern einer erfolgreichen Analyse einer Stromverbrauchskurve wah- 
rend der kryptographischen Operation ist der Aufteiler derart ausgebildet, dass 
wenigstens eine Teiloperation eine Dummyoperation ist, und dass der Rekom- 



binierer derart ausgebildet ist, dass dieser das jeweilige Ergebnis aus einem 
Prozessor, welcher eine Dummyoperation ausgefuhrt hat, verwirft. 

Eine besonders gute Verschleieaing der Stromverbrauchskurve erzielt man 
5 dadurch, dass die integrierte Schaltung zusatzlich einen Zufallsgenerator auf- 
weist, welcher derart mit dem Aufteiler verbunden ist, dass dieser zufallsge- 
steuert arbeitet. 

J0 Kurze Beschreibunq der Zeichnungen 

10 Nachstehend wird die Erfindung anhand der beigefugten Zeichnung naher er- 
lautert. Diese zeigt in der einzigen Fig. ein schematisches Blockschaltbild eines 
Teils einer integrierten Schaltung einer erfindungsgemalien Datenverarbei- 
tungseinrichtung. 

15 Bester Weg zur Ausfuhrung der Erfindung 

Die einzige Figur zeigt einen Teil einer integrierten Schaltung einer ansonsten 
nicht naher dargestellten Datenverarbeitungseinrichtung, welche beispielsweise 
eine Smart Card oder eine Chipkarte ist. Die integrierte Schaltung umfasst eine 
zentrale Recheneinheit (CPU) oder einen Co-Prozessor A 10, einen Co- 
JPo Prozessor B 12, einen Dateneingang 14 und einen Datenausgang 16. Zwi- 
schen dem Dateneingang 14 und der CPU oder einen Co-Prozessor A 10 bzw. 
dem Co-Prozessor B 12 ist ein Aufteiler 18 angeordnet, welcher im Falle einer 
von der integrierten Schaltung auszufuhrenden kryptographischen Operation 
diese in eine erste und zweite Teiloperation in Form eines ersten Datenteils 20 

25 und eines zweiten Datenteils 22 aufteilt. Der erste Datenteil 20 wird der CPU 
oder dem Co-Prozessor A 10 und der zweite Datenteil 22 wird dem Co- 
Prozessor B 1 2 zum Abarbeiten mittels einer vorbestimmten kryptographischen 
Operation zugefuhrt. Der Aufteiler 18 weist ferner einen Zufallseingang 24 auf, 
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mittels dem die Aufteilung in die Datenteile 20, 22 zufallsgesteuert ausgefuhrt 
wird. 

Die CPU Oder der Co-Prozessor A 10 und der Co-Prozessor B 12 fuhren eine 
5 jeweilige kryptographische Operation gleichzeitig und parallel aus. Hierdurch 
uberlagern sich entsprechende Stromverbrauchskurven (Stromverbrauchsam- 
plitude uber Zeit), so dass die Einzelkurven der Einzelgerate 10, 12 bzw. der 
jeweils in den Prozessoren 10, 12 getrennt ablaufenden Einzelprozesse nicht 
^ mehr analysiert werden konnen. 

10 

Aus der CPU oder dem Co-Prozessor A 10 kommt ein erstes Ergebnis 26 und 
aus dem Co-Prozessor B 12 kommt ein zweites Ergebnis 28, welche in einem 
Rekombinierer 30 wieder zu einem Gesamtergebnis zusammen gefasst und 
dem Datenausgang 16 zugefuhrt werden. Uber eine Verbindung 32 informiert 
15 dabei der Aufteiler 18 den Rekombinierer 30 dariiber, wie die jeweiligen Teiler- 
gebnisse 26, 28 wieder zusammen zu fugen sind. Dies ist notwendig, da auf- 
grund des Zufallseingangs 24 die Aufteilung durch den Aufteiler 18 immer in 
zuf§llig unterschiedlicher Weise erfolgt. 

p?o Ein Pfeil bzw. eine Zeitachse 34 veranschaulicht den Datenfluss durch die er- 
findungsgemade Vorrichtung Ober die Zeit. Die Daten gelangen am Datenein- 
gang 14 in der Fig. links in die Vorrichtung, gelangen uber zwei parallele Da- 
tenwege 20, 22 zu den Prozessoren 10, 12, werden in den Prozessoren 10, 12 
weiterverarbeitet und gelangen Qber die Wege 26, 28 wieder zusammen und 
25 verlassen die Vorrichtung in der Fig. rechts Qber den Datenausgang 16. Diese 
Daten umfassen beispielsweise an der Seite des Dateneingangs 14 einen 
kryptographischen Schlussel oder Operanden, welcher zur Authentikation in 
den Prozessoren 10, 12 eine kryptographische Operation durchlaufen, wobei 
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eine Authentikation nur dann als erfolgreich bzw. positiv angesehen wird, wenn 
am Datenausgang 16 ein vorbestimmtes Ergebnis ankommt. 

Zur Verschleierung des sich aufgrund der kryptographischen Operation erge- 
5 benden zeitlichen Schwankungen des Strom verbrauchs, welche in der sogen. 
"Differential Power Analysis" einen Ruckschluss auf die kryptographische Ope- 
ration bzw. den richtigen kryptographischen Schlussel erlauben konnte, werden 
die Prozessoren von der aus Aufteiler 18 und Rekombinierer 30 gebildeten 
^0 Steuereinheit derart angesteuert, dass die beiden Prozessoren 10, 12 gleich- 
10 zeitig und parallel eine kryptographische Operation ausfuhren, so dass sich 



deren Stromverbrauchskurven uberlagern und nicht mehr getrennt analysiert 
werden konnen. Mit anderen Worten ist ein Trennung des von auBen messba- 
ren zeitlichen Verlaufes des Gesamtstromes nicht mehr moglich. 

is Hierbei wird der Schlussel beispielsweise in zwei Datenteile 20, 22 aufgeteilt, 
welche jeweils getrennt voneinander in den Prozessoren 10, 12 einer krypto- 
graphischen Operation unterzogen und die Einzelergebnisse wieder zusammen 
gefuhrt werden. Altemativ lauft in beiden Prozessoren 10, 12 exakt dieselbe 
kryptographische Operation ab, jedoch erhalt nur ein Prozessor 10 oder 12, 
^V^o beispielsweise die CPU oder der Co-Prozessor A 10, den richtigen Schlussel, 
wahrend der jeweils andere Prozessor, beispielsweise der Co-Prozessor B 12, 
einen falschen Schlussel erhalt. Ober die Verbindung 32 informiert der Aufteiler 
18 den Rekombinierer 30, dass dieser das zweite Ergebnis 29 zu verwerfen hat 
und lediglich das erste Ergebnis 26 aus der CPU oder dem Co-Prozessor A 10 

25 an den Datenausgang 16 ubergibt. Ist hierbei der dem Co-Prozessor B 12 zu- 
gefuhrte falsche Schlussel das Komplement des der CPU oder dem Co- 
Prozessor A 10 zugefuhrten echten Schlussel, so ergeben sich bei der Ausfuh- 
rung der kryptographischen Operation komplementare Stromverbrauchswerte 



in den beiden Prozessoren 10, 12, welche eine "Differential Power Analysis" 
faktisch unmoglich machen. 

Es erfolgt die Aufteilung der kryptographischen Operation auf die beiden Pro- 
5 zessoren 10, 12 derart, dass niemals die typischen StromverbrauchsverlSufe 
der kryptographischen Operation eines einzelnen Schaltungsteiles 10, 12 ohne 
parallele Operation des jeweils anderen Schaltungsteils 10, 12, also CPU oder 
Co-Prozessor A 10 bzw. Co-Prozessor B 12, sichtbar werden. 

10 Die Steuereinheit 18, 30 nimmt die Aufteilung in Teilaufgaben beispielsweise 
derart vor, dass durch Zufall gesteuert entschieden wird, welcher Schaltungsteil 
10,12 die relevante kryptographische Operation ausfuhrt. Der zu dem Zeitpunkt 
nicht relevante Schaltungsteil 10, 12 fuhrt parallel dazu eine geeignete krypto- 
graphische Operation (Dummyoperation) aus, die sich im Stromverlauf vollig 

is gleichwertig abbildet, aber fur die Gesamtberechnung unerheblich ist. 

Beispielsweise werden Teile einer DES (Data Encryption Standard) Verschlus- 
selung kontinuierlich oder auch nur teilweise die linke oder rechte Teilver- 
schlusselung auf beide Schaltungsteile 10, 12 in durch Zufall ausgewahlten 
Runden ausgetauscht. 

Altemativ werden bei der Berechnung eines Triple-DES (einer mehrstufigen 
VerschlQsselung) die jeweils relevanten DES-Operationen zufallig zwischen 
den beiden Schaltungsteilen 10 und 12 verteilt, so dass nie vorhersehbar ist, 
25 welcher Schaltungsteile 10 oder 12 gerade die relevante kryptographische Ope- 
ration ausfuhrt. Bei der Steuerung beider Schaltungsteile 10, 12 ist zu beach- 
ten, dass deren typisches Frequenzspektrum zumindest in Teilen identisch ist, 



so class sich Oberlagerungen beider Stromverbrauchprofile auch nicht im Fre- 
quenzraum mittels einer Fourier-Transformationen separieren lassen. 
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B EZUGSZEICHEN LISTE 



10 zentrale Recheneinheit (CPU) 

5 12 Co-Prozessor 

14 Dateneingang 

16 Datenausgang 

18 Aufteiler 

w 20 erster Datenteil 

10 22 zweiter Datenteil 

24 Zufallseingang 

26 erstes Ergebnis 

28 zweites Ergebnis 

30 Rekombinierer 

15 32 Verbindung zw. Aufteiler und Rekombinierer 

34 Zeitachse 
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Patentansprucbe 



Verfahren zum Betreiben einer Datenverarbeitungseinrichtung, insbe- 
sondere einer Chipkarte oder Smart Card, mit einer integrierten Schal- 
tung, welche eine Zentralrecheneinheit (CPU) sowie einen oder mehrere 
Co-Prozessoren aufweist, wobei von der integrierten Schaltung krypto- 
graphische Operationen ausgefuhrt werden, 
dadurch gekennzeichnet, dass 

bei Durchfiihrung einer kryptographischen Operation in der integrierten 
Schaltung jeweils wenigstens zwei Prozessoren, CPU bzw. Co- 
Prozessoren, gleichzeitig und parallel eine kryptographische Operation 
ausfuhren. 

Verfahren nach Anspruch 1 , 
dadurch gekennzeichnet, dass 

nur die kryptographische Operation eines Prozessors, CPU bzw. Co- 
Prozessoren, eine Nutzoperation und alle anderen kryptographischen 
Operationen Dummyoperationen sind, deren Ergebnis verworfen wird. 

Verfahren nach Anspruch 2, 
dadurch gekennzeichnet, dass 

die Auswahl, welcher Prozessor, CPU oder Co-Prozessoren, eine Nut- 
zoperation ausfuhrt, zufallsgesteuert wird. 

Verfahren nach einem der vorhergehenden Anspruche, 



dadurch gekennzeichnet, dass 

eine kryptographische Operation in wenigstens zwei Teiloperationen 
zerlegt wird und wenigstens zwei Prozessoren diese Teiloperationen 
parallel zeitgleich ausfuhren. 

Verfahren nach Anspruch 4, 
dadurch gekennzeichnet, dass 

eine kryptographische Operation im Sinne des Stromverbrauchs in zwei 
zueinander komplementare Operationen aufgeteilt wird. 

Verfahren nach Anspruch 5, 
dadurch gekennzeichnet, dass 

die Auswahl, welcher Prozessor die Operation komplementar oder nicht- 
komplementar ausfuhrt zufallsgesteuert wird. 

Verfahren nach Anspruch 1 f 
dadurch gekennzeichnet, dass 

eine kryptographische Operation in wenigstens zwei Teiloperationen 
aufgeteilt und die Teiloperationen gleichzeitig und parallel von den Pro- 
zessoren, CPU bzw. Co-Prozessoren, ausgefuhrt werden sowie an- 
schlie&end entsprechende Teilergebnisse zu einem Gesamtergebnis der 
gesamten kryptographischen Operation zusammengefugt werden. 

Verfahren nach Anspruch 7, 
dadurch gekennzeichnet, dass 

die Aufteilung der kryptographischen Operation in Teiloperationen zu- 
fallsgesteuert wird. 



9. Verfahren nach Anspruch 7 oder 8, 
dadurch gekennzeichnet, dass 

die Teiloperationen Teile einer Verschlusselung nach DES (Data En- 
cryption Standard) sind. 

5 

10. Datenverarbeitungseinrichtung, insbesondere Chipkarte oder Smart 
Card, insbesondere zum Ausfuhren eines Verfahrens gemaB wenigstens 
einem der vorhergehenden Anspruche, mit einer integrierten Schaltung, 

^ welche eine Zentralrecheneinheit (CPU) (10) sowie einen oder mehrere 

to Co-Prozessoren (12) aufweist, 

dadurch gekennzeichnet, dass 

die integrierte Schaltung eine Steuereinheit (18, 30) aufweist, welche die 
Prozessoren, CPU (10) bzw. Co-Prozessoren (12), derart ansteuert, 
dass im Falle einer kryptographischen Operation wenigstens zwei der 
15 Prozessoren gleichzeitig und parallel eine kryptographische Operation 

ausfuhren. 



1 1 . Datenverarbeitungseinrichtung nach Anspruch 1 0, 
dadurch gekennzeichnet, dass 

die Steuereinheit einen Aufteiler (18) aufweist, welcher eine kryptogra- 
phische Operation in wenigstens zwei Teiloperationen (20, 22) aufteilt 
und zur gleichzeitigen Abarbeitung an zwei getrennte Prozessoren der 
integrierten Schaltung, CPU (10) bzw. Co-Prozessoren (12), zufuhrt. 



25 1 2. Datenverarbeitungseinrichtung nach Anspruch 1 1 , 
dadurch gekennzeichnet, dass 

die Steuereinheit ferner einen Rekombinierer (30) aufweist, welcher je- 
weilige Teilergebnisse (26, 28) aus den von den Prozessoren (10, 12) 



gleichzeitig ausgefuhrten Teiloperationen (20, 22) wieder zusammen- 
fuhrt. 

Datenverarbeitungseinrichtung nach Anspruch 12, 
dadurch gekennzeichnet, dass 

der Aufteiler (18) derail ausgebildet ist, dass wenigstens eine Teilopera- 
tion (20, 22) eine Dummyoperation ist, und dass der Rekombinierer (30) 
derart ausgebildet ist, dass dieser das jeweilige Ergebnis (26, 28) aus ei- 
nem Prozessor (10, 12), welcher eine Dummyoperation ausgefuhrt hat, 
verwirft. 

14. Datenverarbeitungseinrichtung nach einem der Anspruche 11 bis 13, 
dadurch gekennzeichnet, dass 

die integrierte Schaltung zusatzlich einen Zufallsgenerator (24) aufweist, 
is welcher derart mit dem Aufteiler (18) verbunden ist, dass dieser zufalls- 

gesteuert arbeitet. 
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